DPIA (ang. Data Prottection Impact Assessment, Ocena skutków ochrony danych) lub PIA (ang. Privacy Impact Assessments, Ocena wpływu na prywatność) to proces analityczny opisujący jedno lub więcej przetwarzanie danych o podobnych cechach, oceniający konieczność i proporcjonalność przetwarzania celu, identyfikujący zagrożenia dla praw i wolności osób, których dane dotyczą, i odpowiednie środki bezpieczeństwa dla przetwarzanie i ryzyko.

Przygotowanie oceny skutków jest obowiązkiem przewidzianym dla przetwarzania danych, które wiąże się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą. Wytyczne dotyczące oceny skutków w zakresie ochrony danych zawierają pewne elementy, które należy wziąć pod uwagę w celu ustalenia, czy przetwarzanie wiąże się z wysokim ryzykiem dla praw i wolności osób, których dane dotyczą.

Międzynarodowa Organizacja Normalizacji (ISO) opublikowała normę ISO/IEC 29134:2017 „Information technology — Security techniques — Guidelines for privacy impact assessment„. Ramy normy zawierają wytyczne dla procesu oceny wpływu na prywatność oraz strukturę i zalecane treści raportu „Privacy Impact Assessments” (PIA). Norma ta ma zastosowanie do wszystkich typów i rozmiarów organizacji, w tym spółek publicznych, prywatnych firm, podmiotów rządowych i organizacji non-profit.

ISO stwierdza, że ramy są istotne dla osób zaangażowanych w projektowanie lub wdrażanie projektów, w tym strony obsługujące systemy przetwarzania danych i usługi przetwarzające informacje osobowe. Proponuje także listę 20 zagrożeń, które można analizować za pomocą metody jakościowej oraz najważniejszych i realistycznych 10 środków bezpieczeństwa.

Wytyczne te mają szczególne znaczenie dla organizacji podlegających Rozporządzeniu 2016/679 Parlamentu Europejskiego i Rady z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (tzw. RODO), ponieważ Grupa Robocza art. 29 (tzw. WP29) odwołuje się do tych ram w swoich „Wytycznych dotyczące oceny skutków dla ochrony danych (DPIA) oraz ustalenia, czy przetwarzanie z dużym prawdopodobieństwem może powodować wysokie ryzyko, do celów rozporządzenia 2016/679„. WP29 przyjmuje do wiadomości normę ISO/IEC 29134:2017, która jest standardem uwzględnionym w wytycznych, a także stanowi normę która będzie zawierała wytyczne dotyczące metodologii stosowanej do przeprowadzenia oceny skutków w zakresie ochrony danych.

Chociaż norma ISO/IEC 29134:2017 jest jedynie wytycznymi, to fakt, że są one przywoływane przez WP29, może wyjaśniać, czego dokładnie organy nadzoru oczekują od administratorów danych podczas wykonywania DPIA zgodnie z art. 35 RODO.

RODO nie definiuje formalnie pojęcia DPIA jako takiego, ale minimalny zakres DPIA jest określony w artykule 35 ust. 7 jako obejmujący:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora,
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1, oraz
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Znaczenie i rolę DPIA określono w motywie 84: „Aby poprawić przestrzeganie niniejszego rozporządzenia, gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych, należy zobowiązać administratora do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka”.

RODO zaleca więc 4 obowiązkowe tematy, które należy uwzględnić w ocenie skutków dla ochrony danych (opis operacji przetwarzania, ocenę konieczności i proporcjonalności operacji przetwarzania, ocenę ryzyka prywatności, oraz środki bezpieczeństwa stosowane w celu uwzględnienia ryzyka prywatności). Nakreśla także proces, który należy wykonać w celu przeprowadzenia PIA.

Wynika z tego, że administrator danych zobowiązany jest dokonać ogólnej oceny skutków ochrony danych dla organizacji (DPIA), a następnie, o ile zidentyfikuje czynności, które mogą spowodować wysokie ryzyko naruszenia praw lub wolności winien on przygotować szczegółową ocenę wpływu na prywatność (PIA) dla tych czynności.

Podobne stanowisko zajął UODO publikując informację dotyczącą wymaganej dokumentacji przetwarzania danych osobowych zgodnie z RODO zaznaczając, że że „wskazane w RODO wymagania wymienione w art. 30, art. 33 ust 3 i 5 oraz art. 35 ust 7 nie są jedynymi, jakie należy uwzględnić w dokumentacji przetwarzania. Są one jedynie specyficzne pod tym względem, że wskazany jest zakres informacji, jaki w danym obszarze powinien być uwzględniony. (…) Jeśli chodzi o zawartość dokumentacji przetwarzania, to należy mieć na uwadze zawarte m.in. w art. 24 i 32 RODO wymaganie wskazujące, że opracowana polityka bezpieczeństwa powinna uwzględniać zakres, kontekst i cele przetwarzania oraz ryzyka naruszenia praw i wolności, w tym prawdopodobieństwo ich wystąpienia.„¹
—
^{1. Źródło: https://uodo.gov.pl/pl/138/273}